异常在于 生存时间= 1,通常情况下应该是128。也就是说这个数据包并没有出局域网就被丢弃了。
在内网的机器都开的情况下,发送源是随机的。但是通过矩阵可以看到总是同时有10多台机器与之相连。抓包分析(小部分):
严重程度 协议层 事件 源 源端口 目标 目标端口 数据包
注意 Network Layer IP包生存周期太短(请看数据包 37159) 192.168.1.94 224.0.0.22 37159
注意 Network Layer IP包生存周期太短(请看数据包 37163) 192.168.1.94 224.0.0.22 37163
注意 Network Layer IP包生存周期太短(请看数据包 34467) 192.168.1.111 224.0.0.22 34467
25182
注意 Network Layer IP包生存周期太短(请看数据包 27699) 192.168.1.150 224.0.0.22 27699
注意 Network Layer IP包生存周期太短(请看数据包 15487) 192.168.1.142 224.0.0.22 15487
注意 Network Layer IP包生存周期太短(请看数据包 15493) 192.168.1.142 224.0.0.22 15493
注意 Network Layer IP包生存周期太短(请看数据包 36386) 192.168.1.115 224.0.0.22 36386
注意 Network Layer IP包生存周期太短(请看数据包 5575) 192.168.1.74 224.0.0.22 5575
注意 Network Layer IP包生存周期太短(请看数据包 5567) 192.168.1.74 224.0.0.22 5567
注意 Network Layer IP包生存周期太短(请看数据包 36380) 192.168.1.115 224.0.0.22 36380
注意 Network Layer IP包生存周期太短(请看数据包 14937) 192.168.1.139 224.0.0.22 14937
注意 Network Layer IP包生存周期太短(请看数据包 9491) 192.168.1.98 224.0.0.22 9491
注意 Network Layer IP包生存周期太短(请看数据包 5503) 192.168.1.73 224.0.0.22 5503
注意 Network Layer IP包生存周期太短(请看数据包 36631) 192.168.1.71 224.0.0.22 36631
注意 Network Layer IP包生存周期太短(请看数据包 10794) 192.168.1.106 224.0.0.22 10794
注意 Network Layer IP包生存周期太短(请看数据包 14522) 192.168.1.139 224.0.0.22 14522
27122
注意 Network Layer IP包生存周期太短(请看数据包 12208) 192.168.1.136 224.0.0.22 12208
注意 Network Layer IP包生存周期太短(请看数据包 27921) 192.168.1.62 224.0.0.22 27921
注意 Network Layer IP包生存周期太短(请看数据包 27936) 192.168.1.62 224.0.0.2
2 27936
相关数据包如下:
编号 相对时间 源 目标 大小 概要
26088 0.000000 192.168.1.130 224.0.0.22 64 版本=4,头长=6,总长= 40,标识= 42,生存时间= 1,协议= 2
查询目标IP结果:
IP : 224.0.0.2 地址: 美国 南加利福尼亚大学
大家看下。。可能是什么原因。另外内网机器会不时在某时刻同时发送广播。在机器同时开的时候网速变慢(150台,10M内网)但是在以前没有这样的问题。
为什么会有TLL=1的数据包??是否有病毒或木马刻意伪造?但是那样的话应该把TLL改大才符合逻辑。若是木马病毒,这样的做的目的是什么???
大家帮忙分析下。 |
发表于 2007-9-11 22:01:27
发表于 2007-9-12 10:20:05